למרות ההכחשות: חשש כי מתקפת הסייבר על ישראל הצליחה ומידע רב דלף

לאחר שמערכת הביטחון הישראלית הודיעה אתמול כי הצליחה לעצור התקפת האקרים על התעשיות הביטחוניות בישראל, חוקרי אבטחה ב ClearSky, חברת אבטחה בינלאומית שהייתה הראשונה שחשפה את המתקפה, טענו שההערכה היא שמי שעומד מאחורי המתקפה היא צפון קוריאה. וכי צפון קוריאה הצליחה לחדור למערכות ולשלוף חומר רב. כך דיווח הבוקר רונן ברגמן ב'ניו יורק טיימס'

בכך ישראל נכנסת לרשימת המדינות המותקפות ע"י יחידת ההאקרים של צפון קוריאה המכונה Lazarus Group, שידועה גם כ"קוברה הנעלמת" Hidden Cobra

החשש בישראל הוא שהמידע המסווג ,שנמצא כעת בידי צפון קוריאה, ישותף עם איראן.

התקיפה החלה בחודש יוני עם הודעה פרטית למהנדס בחברה ביטחונית ישראלית שמייצרת כלי נשק לצבא, ברשת לינקדאין עם פרופיל חיקוי לחברת Dana Lopp, החברה האמיתית היא אכן מגייסת כוח אדם בחברת בואינג. לאחר יצירת קשר עם איש המטרה , התוקפים ביקשו כתובת מייל או מספר טלפון כדי להמשיך ליצור קשר באמצעות הוואטסאפ או בטלפון על מנת להיראות אמינים. אכן התקבלו שיחות כאלה ומעדויות אנשים, מי שדיבר בצד השני היה עם מבטא אנגלי רהוט ולא עורר חשד כלל.

שלב כזה של תחכום לא נראה עוד בקרב יחידת ההאקרים, אומרים ב ClearSky .
בשלב מסוים, התוקפים שלחו מסמך ובו רשימת משרות מבוקשות. המסמך הכיל תוכנת ריגול לא נראית שחדרה למחשב וניסתה לעקוב אחר רשתות ישראליות מסווגות.

ב2019 היה ניסיון דומה, אך אז המיילים נכתבו בעברית משובשת שנראה היה שעברו תרגום ידני, מה שכמובן עורר חשד מיידי. הלקח נלמד, ודפוס הפעולה השתנה. התוקפים יוצרים קשר בוואטסאפ ובלינקדאין כדי ליצור קשר ישיר עם אנשי תעשיות ביטחוניות צבאיות מהמערב.

בועז דולב, בעלים ויו"ר חברת ClearSky טוען שברגע שנמצא שהחלה מתקפת הסייבר, הוא מצא במהירות את החשבונות המזויפים של יחידת הסייבר הצפון קוריאנית בלינקדאין , וכן את ההודעות שנמסרו לאישים בתעשיות הביטחוניות. החקירה העלתה שלפחות בשני מקרים, התוקפים התקינו כלי תקיפה ברשתות הישראליות. בכלי שידוע כגישה טרויאנית מרוחקת , נעשה שימוש במגוון תקיפות , וביניהן בנקים טורקיים שמהם נגנבו סיסמאות ומידע רב.